Richtlinie: Datenschutzrichtlinie

Ziel und Zweck:

• Diese interne Datenschutzrichtlinie legt verbindlich fest, wie der Datenschutz im Unternehmen behandelt, organisiert und sichergestellt wird.
• Ziel ist es, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie weiterer einschlägiger Datenschutzgesetze einzuhalten und den Schutz personenbezogener Daten dauerhaft zu gewährleisten.

2. Geltungsbereich

• Sie richtet sich an alle Mitarbeitenden, Führungskräfte sowie externe Personen, die im Auftrag des Unternehmens personenbezogene Daten verarbeiten.

3. Inkrafttreten und Überprüfung

• Diese Prozessbeschreibung tritt mit Veröffentlichung in Kraft und wird mindestens einmal jährlich überprüft und bei Bedarf angepasst.

Datenschutz ist eine gemeinsame Verantwortung des Unternehmens und aller Mitarbeitenden. Personenbezogene Daten dürfen nur verarbeitet werden, wenn hierfür eine rechtliche Grundlage besteht und die Verarbeitung für die jeweilige Aufgabe erforderlich ist.

Jede Verarbeitung hat sich an den Grundsätzen der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Vertraulichkeit und Integrität zu orientieren.

Das Unternehmen verpflichtet sich, den Datenschutz systematisch sicherzustellen. Dazu gehören insbesondere:

• Festlegung klarer Zuständigkeiten für Datenschutz
• Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs)
• Auswahl und Kontrolle von Auftragsverarbeitern
• Schulung und Sensibilisierung der Mitarbeitenden
• Dokumentation der Verarbeitungstätigkeiten
• Sicherstellung der Betroffenenrechte

Das Unternehmen stellt sicher, dass personenbezogene Daten nur von befugten Personen verarbeitet werden.

Zum Schutz personenbezogener Daten setzt das Unternehmen unter anderem folgende Maßnahmen ein:

• Zugriffsbeschränkungen auf IT-Systeme (Benutzerkonten, Passwörter, Rollen)
• Schutz vor unbefugtem Zutritt zu Büroräumen und Servern
• Verschlüsselung mobiler Datenträger und mobiler Endgeräte
• Regelmäßige Datensicherungen
• Protokollierung relevanter Zugriffe
• Aktualisierung von Software und Sicherheitssystemen

Die konkreten Maßnahmen richten sich nach Art, Umfang und Risiko der jeweiligen Datenverarbeitung.

Alle Mitarbeitenden sind verpflichtet, personenbezogene Daten vertraulich zu behandeln.

Diese Verpflichtung gilt:

• während der Tätigkeit im Unternehmen
• auch nach Beendigung des Arbeitsverhältnisses

Personenbezogene Daten dürfen nicht unbefugt eingesehen, weitergegeben, verändert oder gelöscht werden.

Jede Mitarbeiterin und jeder Mitarbeiter ist verpflichtet:

• personenbezogene Daten nur im Rahmen der übertragenen Aufgaben zu verarbeiten
• nur die dafür vorgesehenen IT-Systeme und Arbeitsmittel zu nutzen
• Zugangs- und Zugangsdaten geheim zu halten
• Arbeitsplätze vor unbefugtem Zugriff zu schützen (z. B. Bildschirmsperre)
• Ausdrucke und Datenträger sicher aufzubewahren und ordnungsgemäß zu entsorgen
• E-Mails, Anhänge und Links kritisch zu prüfen
• Datenschutzvorfälle unverzüglich zu melden

Eigene private Zwecke rechtfertigen keine Verarbeitung personenbezogener Daten aus dem Unternehmen.

Datenschutzvorfälle (z. B. Fehlversand von E-Mails, Verlust von Geräten, unbefugter Zugriff) sind unverzüglich an die zuständige Stelle oder den Datenschutzbeauftragten zu melden.

Eine verspätete oder unterlassene Meldung kann erhebliche rechtliche Folgen für das Unternehmen haben.

Mitarbeitende werden regelmäßig über Datenschutzpflichten informiert und geschult. Die Teilnahme an Datenschutzschulungen ist verpflichtend.

Neue Mitarbeitende erhalten eine Einführung in diese Datenschutzrichtlinie.

Verstöße gegen diese Datenschutzrichtlinie können arbeitsrechtliche Maßnahmen nach sich ziehen und gegebenenfalls zu zivil- oder strafrechtlicher Haftung führen.

Zurück zu Regeln und Anweisungen